金融行业无线SSLVPDN解决方案专用术语:VPDN:VirtualPrivateDial-UpNetwork虚拟拨号专网SSL:SecureSocketLayer安全套接字协议SSL-VPDN:SSL加密拨号专网PKI:PublicKeyInfrastructure公钥基础设施CA:CertificateAuthentication数字证书认证服务SOE:SSLOverEthernet以太网协议封装SGSN:ServingGPRSSupportNode服务GPRS支持节点GGSN:GatewayGPRSSupportNode网关GPRS支持节点VRF:VirtualRoutingForwarding虚拟路由转发PDP:PacketDataProtocol指分组数据规程AAA服务:认证(Authentication)、授权(Authorization)、审计(Accounting)1、概述随着时代的发展、科技的进步,金融业已经成为信息技术和网络技术发展的最大受益者之一。银行网络信息系统的建立,改善了整个银行业的经营环境,增强了金融信息的可靠性,提高了管理水平,促成了各项新业务的开展,使金融服务于社会的手段更趋现代化。近年来针对金融信息网络的计算机犯罪的案件呈逐年上升趋势,特别是目前银行全面进入业务系统整合、数据大集中的新的发展阶段,以及银行卡、网上银行、电子商务等新的产品和新一代业务系统的迅速发展,现在不少银行开始将部分业务放到互联网上,今后几年内将迅速形成一个以基于TCP/IP协议为主的复杂的、全国性的网络应用环境,来自外部和内部的信息安全风险将不断增加,这就对金融系统的安全性提出了更高的要求。目前,金融行业单位内部一般建设有大量的信息系统,而出于安全的需要,金融行业的信息系统只能在单位专网中使用,而且单位专网与互联网采用物理隔离的方式以防止来自互联网的入侵。在这种情况下,移动终端如何安全的接入单位专网实现移动办公?通过互联网建立VPN的方案显然不行!3G业务是第三代移动通讯业务,与第二代相比,具有高速的数据传输能力。而中国联通获得的WCDMA牌照,是目前世界上使用最为广泛、传输速度最快的3G标准。与其他运营商相比,中国联通更拥有专业的“数字证书认证服务中心(CA)”并通过了国家密码管理局的安全审查,获得工信部的“社会认证服务资格证书”。中国联通公司推出的“SSL-VPDN”业务正是利用其特有的WCDMA无线数据传输技术和数字证书认证服务体系,通过建立无线拨号专线(VPDN)接入单位专网,并通过建立SSL隧道实现数据加密传输和基于数字证书的身份鉴别,一方面保障了远程接入专线与互联网的物理隔离,同时又保障了数据在传输过程中的机密性、真实性和完整性以及远程终端身份的真实性。从而在安全保障的基础上,实现移动办公、移动终端接入等应用。2方案目标:移动终端以专线的方式,随时随地接入单位专网,,并确保信息的机密性、完整性、真实性和可控性。2.1需求分析:传输速度要求由于金融系统有比较强的实时性要求,因此需要有较高的传输带宽,带宽不低于100K故障恢复要求由于金融系统对网络具有依赖性,所以要求系统必须十分稳定并具有应急备份机制。故障恢复时间不超过2小时。可扩展性要求随着远程终端点(分支机构)的增加、拆除、迁移,能快速处理。信息安全要求A、强访问控制防止非法用户访问金融专网B、强身份认证鉴别身份的真实性,防止假冒身份C、数据机密性、真实性要求虽然采用专线方式,但是移动专线需要经过多个接入点,必须采用有效的机制,防止非法用户通过侦听手段窃取信息。D:安全隔离防止内部和外部用户对金融系统的攻击3、无线SSL-VPDN解决方案3.1建设方案根据以上的需求分析,联通无线SSL-VPDN采用WCDMA专线拨号方式,实现高速移动专线接入;采用PKI(publicKeyinfrastructure公钥基础设施)体系,实现二级强身份认证和授权;通过SOE(SSLoverEthernet)技术,建立加密传输通道,保障信息的机密性。如下图:3.2方案说明:单位专网内部署的信息安全平台以专线方式与本地联通的GNS(GRENetworkServer)相连,并分配到一个私网地址,例如172.2.2.1。联通为单位分配一个专用APN(AccessPointName,接入点),远程合法用户接入单位专用APN,即可连接到信息安全平台。3.2.2使用说明远程终端使用联通3G上网卡,接入单位专用APN,身份确认后,建立客户端到信息安全平台之间的SSL加密隧道,同时根据用户的权限进行细粒度的访问控制,确保只有合法用户才能访问其权限内的应用系统。3.2.4安全性分析:1、WCDMA拨号专线+SSL隧道保证链路安全。从WCDMA拨号到GGSN再到随E联信息安全平台,这些均保证了链路的专用,该专用链路与互联网物理隔离。而在此链路上,再通过SSLOVERETHERNET技术建立SSL加密隧道,保障了信息传输的机密性。加密算法采用国家密码管理局认可的国产专用算法SM1对称算法。随E联信息安全平台内置我国商用密码定点生产单位的专用PCI加密卡。2、二级认证体系保障身份的真实性1)一级认证:联通AAA认证,远程用户要访问内部信息系统,首先需要建立与联通GGSN的拨号连接,该连接由联通的AAA服务器提供认证,该认证捆绑3G上网卡。确保只有合法用户才能接入专用APN。该授权由联通管理。此为一级认证2)二级认证:SSL数字证书双向认证,用户要与信息安全平台建设SSL隧道,需要再经过信息安全平台的数字证书双向认证体系的认证,认证通过后,方能建立SSL隧道,并产生虚拟IP地址(该虚拟IP地址,支持客户内部自有AAA服务的绑定认证)。隧道建立后,还要根据其权限,控制用户可以访问的信息系统。该设置由单位管理员管理。3)、信息安全平台对单位转弯实现安全隔离,单位专网与远程接入专线之间,有信息安全平台进行安全隔离,对单位专网实现钟罩式保护。确保只有被授权的合法用户才能访问其权限内的应用系统3.3方案特点1、高访问速度,联通WCDMA3G无线上网卡有着三大运营商中最大的带宽优势,下行接入速率达7.2M的无线高速带宽接入保证了移动办公能获得良好的使用效果。2、多层安全性保障见“方案的安全性分析”